DNS

Roman Neuhauser neuhauser at bellavista.cz
Thu Dec 11 15:29:45 CET 2003
Previous message: DNS
Next message: KW-571B
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
# dan at obluda.cz / 2003-12-10 19:06:35 +0100:
> Roman Neuhauser napsal/wrote, On 12/10/03 12:50:
> >>	No, pokud jsem pochopil cely popsany problem, tak hacek byl v toim, 
> >>	ze jeden resolver byl down (coz je jiste vada, ktera neni vyhrazena 
> >>	pouze jednomu software) a druhy byl nerekurzivni nebot' byl chybe 
> >>nakonfigurovany - a chybna konfigurace mi take nepriada byt problem 
> >>konretniho software.
> >
> >    ne, hacek byl v tom, ze BIND dava odpovedi na rekurzivni dotazy,
> >    pokud uz ma odpoved v cachi. tim se problem maskoval, trvalo dyl,
> >    nez se na padly server Eurotelu prislo, a nebylo hned jasne, co se
> >    deje.
> 
> 	Pokud ty odpovedi nebyly jeste expirovane, pak byly platne a bylo 
> 	plne v poradku, ze to delal. Protoze dobu platnosti ridi puvodni 
> (autoritativni) nameserver, ktery je predal, nedelal vlastne nic jineho, 
> nez k cemu byl urcen.
> 
> 	Cache za definovanych podminek rizenych autoritativnim nameserverem 
> 	je integralni soucasti protokolu.
> 
> 	A ze nebylo jasne co se deje - ano. Pokud zapomeneme, ze cache jsou 
> soucasti DNS, muze se to stat.

    asi si nerozumime. pokud ta cache telecomu mela dany zaznam, dala ho
    komukoliv, pokud ne, jenom glue (referal). trvam na tom, ze cache ma
    bud fungovat, nebo se se mnou vubec nebavit.

> >>>    Tohle chovani je primo vrazedne, protoze podporuje mezi lidmi zmatek
> >>>    ohledne ruznych roli name serveru (rikejme jednomu server a druhemu
> 
> >>	Pri vsi ucte, neni ukolem "lidi" aby chapali ruzne funkce 
> >>	nameserveru. To je zalezitosti spravce site, coz je odbornik, 
> >>	kteremu by 
> 
> >    ledaze se "lidmi" mysli i "spravci siti a jini odbornici". 
> 
> 	To tezko, protoze odbornik na spravu siti je nepochybne s protokolem 
> DNS seznamen, a to, ze jeho soucasti je i cacheovani ho nemuze ani zmast 
> ani prekvapit.
> 
> 	Vzdycky tomu tak bylo ...

    zkusim to formulovat jinak:
    
    motani uloh cachi a autoritativnich serveru v RFC 1034, 1035,
    nejrozsirenejsi implementaci obojiho (BIND), i klientech ("preferred
    DNS server", "alternate DNS server" ve vlastnostech TCP/IP, ovladaci
    panel Sit, w2k) je IMO duvodem toho, ze mnozi "technici" ruznych ISP
    apod., a dokonce i spravci DNS cachi a/nebo autoritativnich serveru
    nechapou rozdil mezi temito dvema ulohami, coz ma v praxi za
    nasledek napr. nepochopeni faktu, ze DNS cache neni povinna
    poskytovat svoje sluzby celemu internetu a z toho vyplyvajici
    problemy jako ten, o kterem jsem psal na zacatku.
    
    "to je jedno, dejte si tam treba servery volneho" jsem si nevycucal
    z prstu, byla to rada cloveka starajiciho se v jedne prazske firme,
    ktera poskytovala mikrovlnne pripojeni.
 
> >>	Pokud nemate vice IP adres, nemuzete, pri pouziti DJBDNS na jednom 
> >>stroji soucasne provozovat resolver pro uzivatele a soucasne 
> >>autoritativni nameserver.
> >
> >    muzete uvest realnou situaci, kdy potrebujete mit na jednom stroji
> >    cache, autoritativni server, a IP adresy jsou problem?
> 
> 	Me takove situace pripadaji bezne. Vsechny moje pobocky jsou v 
> 	takove situaci. Samozrejme, ze bych mohl o druhou IP ISP pozadat - a mozna 
> by mi ji i poskyt a mozna by se tak stalo i zdarma. Proc bych to ale delal, 
> kdyz pozadovaneho vysledku lze dosahnout i s jednou adresou. Ano, 
> vyzaduje to, abych rozumel tomu, jak DNS funguje, ale mit tu znalost je 
> snad samozrejme, kdyz spravuju sit s DNS serverem - takze mu naprosto 
> nic nebrani ...

    jelikoz jste mi neposkytl moc informaci, muzu se jenom dohadovat, ze
    prumerna Vase pobocka se sklada z routeru/NATu a nekolika stroju s
    RFC 1918 IP adresami:

    < internet >
         |
    [  1.2.3.4 ]
    [ 10.0.0.1 ]
         |
         |--[ 10.0.0.2 ]
         |--[ 10.0.0.3 ]
         |--[ 10.0.0.4 ]
         |--[ 10.0.0.5 ]

    z toho, co dal pisete, vyplyva, ze vsechny vase pobocky potrebuji
    *na vnejsi adrese routeru* (1.2.3.4) provozovat autoritativni server
    a DNS cache.

    uhodl jsem? prosim, potvrdte/opravte jednotlive body.
 
> 	Nicmene, mam dojem, ze dochazi k nedorozumeni. Ja vam DJBDNS 
> nepomlouvam. Nemusite ho tedy nijak zvlast branit.

    takovy pocit nemam, a djbdns nebranim; nepotrebuje to. snazim se
    jenom dobrat situace, ve ktere by rozdeleni dnscache/tinydns a z
    toho vyplyvajici potreba dvou ip adres opravdu bylo prekazkou. je to
    totiz casty argument v debatach BIND/djbdns, ale vzhledem k mnozstvi
    realnych prikladu takove situace muzu rict, ze zatim naprosto
    nepodlozeny.

> 	Jen jsem odmitl vase obecne tvrzeni o "strasnem chovani". To chovani 
> neni strasne obecne, ale jen pro toho, kdo nevi dostatecne jak DNS 
> funguje, konkretne, pro toho, kdo nevi, ze a jak funguje DNS cacheovani.

    jak vim, co je to TTL, a chovani BINDu melo pro me strasne ucinky.
    nebo jste to myslel jinak?
 
-- 
If you cc me or remove the list(s) completely I'll most likely ignore
your message.    see http://www.eyrie.org./~eagle/faqs/questions.html
Previous message: DNS
Next message: KW-571B
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list